कीमतें
लॉगिनNymVPN प्राप्त करें
लॉगिन

निम वॉलेट सुरक्षा ऑडिट

निम वॉलेट का सुरक्षा ऑडिट

5 मिनट पढ़ें

परिचय

दिसंबर 2022 में, नाइम ने ओक सुरक्षा द्वारा किए गए एक स्वतंत्र सुरक्षा ऑडिट का सामना किया, जो जर्मनी स्थित साइबरsecurity परामर्श फर्म है जो तीसरी पीढ़ी के ब्लॉकचेन और विकेंद्रीकृत प्रोटोकॉल का ऑडिट करने में विशेषज्ञता रखती है। कोसमॉस, टेरा, पॉलीकडॉट और फ्लो जैसे पारिस्थितिकी तंत्रों में व्यापक अनुभव के साथ, ओक सुरक्षा को निम पारिस्थितिकी तंत्र के दो महत्वपूर्ण घटकों का मूल्यांकन करने का कार्य सौंपा गया: (1) निम मिक्सनेट और वेस्टिंग अनुबंध (देखें पूर्ण रिपोर्ट) और (2) निम वॉलेट (देखें पूर्ण रिपोर्ट). ऑडिट का उद्देश्य इन घटकों की सुरक्षा और मजबूती का आकलन करना, संभावित कमजोरियों की पहचान करना और सुरक्षित कोड विकास में सर्वोत्तम प्रथाओं के अनुपालन सुनिश्चत करना था। चीजों को पालन करना आसान बनाने के लिए, हमने प्रत्येक घटक के निष्कर्षों को तोड़ दिया है। आप Nym मिक्सनेट और वेस्टिंग अनुबंधों का ऑडिट सारांश यहाँ देख सकते हैं।

ओक सुरक्षा द्वारा न्यिम वॉलेट ऑडिट का सारांश

ऑडिट, जो दो सप्ताह तक चला, जिसमें ओक सुरक्षा के चार विशेषज्ञों की एक टीम शामिल थी। Nym टीम ने कोडबेस, परियोजना की विशिष्टताओं और प्रासंगिक दस्तावेज़ों का पूरा ऐक्सेस प्रदान किया। ऑडिट का दायरा "nym-wallet" रिपॉजिटरी को कवर करता था।

ऑडिटर्स ने nym-wallet रेपॉजिटरी का एक व्यापक आकलन किया, इसके सुरक्षा कमजोरियों, एकीकरण तंत्र, क्रिप्टोग्राफिक मजबूती और सुरक्षित विकास प्रथाओं के प्रति औसत अनुपालन का मूल्यांकन किया।

ओक सुरक्षा ने सुरक्षा कमजोरियों को उजागर करने के लिए स्वचालित विश्लेषण को मैनुअल कोड जांच के साथ मिलाकर एक हाइब्रिड दृष्टिकोण अपनाया।

खोजों का अवलोकन

Nym वॉलेट एक अच्छी तरह से संरचित कोडबेस के साथ मध्यम से उच्च पठनीयता के लिए पाया गया। ऑडिटर्स ने विश्वसनीयता और बनाए रखने की क्षमता बढ़ाने के लिए परीक्षण कवरेज और दस्तावेज़ीकरण में सुधार करने की सिफारिश की।

Nym Wallet के लिए कुल 17 निष्कर्ष-report किए गए। कोई भी गंभीर के रूप में वर्गीकृत नहीं किया गया; चार को प्रमुख के रूप में रेट किया गया, जबकि शेष 13 को मामूली या सूचनात्मक के रूप में वर्गीकृत किया गया, जो बटुए के कार्यान्वयन को और बेहतर बनाने के अवसर प्रस्तुत करते हैं।

Nym टीम ने सभी प्रमुख निष्कर्षों का त्वरित समाधान किया, और ओक सुरक्षा ने सुधारों की समीक्षा की और उन्हें मंजूरी दी।

NYM-WALLET-1: लॉगआउट के बाद पासवर्ड अभी भी मेमोरी में है (मेजर)

ऑडिटरों ने पहचान की कि, यांत्रिक सरलता के विपरीत, इसे पुनः प्राप्त करने के लिए उपयोग किया गया पासवर्ड यूज़र द्वारा लॉग आउट करने के बाद भी मेमोरी में दृश्यमान रहता है।

समस्या को संबोधित करने के लिए, Nym ने एक समाधान लागू किया जो लॉगआउट और अकाउंट बनाते समय विंडो को पुनः चक्रीय करता है। यह क्रिया प्रभावी रूप से वेबव्यू को नष्ट करती है, जो जावास्क्रिप्ट रनटाइम को होल्ड करती है और किसी भी संवेदनशील डेटा, जिसमें मेमनोइक और पासवर्ड शामिल हैं, को मेमोरी से हटा देती है।

NYM-WALLET-2: अकाउंट निर्माण के बाद वॉलेट के भीतर मेमोरी में रखा गया.mnemonic (प्रमुख)

लेखापरीक्षकों ने पहचाना कि जबकि मेमोरी में यूज़र लॉग आउट करते समय मेनोनिक सही ढंग से ओवरराइट किया जाता है, यह अकाउंट निर्माण के बाद ऐसा नहीं है। विशेष रूप से, जब नए अकाउंट को वॉलेट में बनाया जाता है, तो ट्रांसलेट किया गया पाठ स्पष्ट नहीं है, यहां तक कि यूज़र लॉग आउट होने के बाद भी स्थायी रूप से स्मृति में प्रकट होता है, संभावित रूप से संवेदनशील जानकारी का खुलासा करता है।

NYM-WALLET-1 में लागू की गई समाधान भी इस मुद्दे को ठीक करती है।

NYM-WALLET-3: पासवर्ड विशेष चर के सीमित प्रस्ताव (महत्वपूर्ण)

ऑडिटर्स ने पहचान की कि वॉलेट में PasswordStrength घटक पासवर्ड की ताकत को लागू करने के लिए एक regex पैटर्न का उपयोग करता है, लेकिन यह पैटर्न बहुत सख्त है और पासवर्ड की एक व्यापक श्रृंखला की अनुमति देने के लिए अधिक लचीले प्रतीकों के सेट का उपयोग करने की सिफारिश की गई है। हमने इस मुद्दे का समाधान ऑडिटरों की सिफारिश के अनुसार regex पैटर्न को अपडेट करके किया, ताकि पात्रों की एक विस्तृत रेंज की अनुमति दी जा सके और पासवर्ड सुरक्षा को बढ़ाया जा सके।

हमने अधिक सटीक और मजबूत पासवर्ड की ताकत मान्यता के लिए Dropbox "zxcvbn" पैकेज को एकीकृत करके इस मुद्दे को हल किया।

NYM-WALLET-4: यूज़र को मेमोनिक वाक्यांश को क्लिपबोर्ड पर कॉपी करने के लिए मजबूर किया जाता है (Major)

अकाउंट के निर्माण के दौरान, यूज़र को स्मरणांक वाक्यांश प्रस्तुत किया गया और "स्मरणांक कॉपी करें" बटन पर क्लिक करने की आवश्यकता थी, जो वाक्यांश को क्लिपबोर्ड पर कॉपी करता है। ऑडिटर्स ने इस प्रथा को एक सुरक्षा जोखिम के रूप में पहचाना, क्योंकि अन्य अनुप्रयोग संभावित रूप से स्मरणिका तक पहुंच सकते थे।

इसका समाधान करने के लिए, हमने ऑडिटर्स द्वारा अनुशंसित समाधान को लागू किया, जिसमें "कॉपी म्नेमोनिक" बटन को हटाना शामिल है। इसके बजाय, हमने यादाश्त वाक्यांश को सुरक्षित रूप से स्टोर करने और उपयोग करने के लिए दिशा-निर्देश जोड़े और यूज़र के लिए एक चेकबॉक्स जोड़ा ताकि वे पुष्टि कर सकें कि उन्होंने प्रदान की गई जानकारी को पढ़ा और समझा है।

Last Words

हम ओक सुरक्षा टीम को उनके विशेषज्ञता और इस ऑडिट प्रक्रिया के दौरान उनकी समर्पण के लिए धन्यवाद देना चाहेंगे। हम प्लानिंग और ऑडिट के कार्यान्वयन के दोनों चरणों के दौरान दिखाए गए सहयोग और पेशेवरता की भी सराहना करते हैं। हमारी लगातार सुरक्षा के प्रति समर्पण एक शीर्ष प्राथमिकता है, और हम अपने पारिस्थितिकी तंत्र के लिए उच्चतम मानकों को बनाए रखने के लिए सुरक्षा विशेषज्ञों के साथ निरंतर साझेदारी की उम्मीद करते हैं।

साझा करें

विषयसूची